前言:
HVV行动中,或者一些SRC挖掘和定点测试的时候,总会遇到一些登录页面。常见的渗透方式有注入,逻辑(忘记密码),寻找敏感接口/目录,0day/Nday,字典爆破等方法。当然,渗透的思维是发散的,不一定就要局限于这些。
案例分享:
某学校招新系统登录页面。
界面如下:
拿到系统的时候,我也尝试着找寻是否存在注入点,或者扫描一些敏感目录和接口,甚至采用字典爆破,但都没有什么收获。其实我也想着就这么放弃了。
但心里总是不甘心,脑海里迅速过一遍挖掘到的目标院校的漏洞,看能否结合起来拿下这个系统。
0x01:目标院校云桌面服务
在对目标院校进行信息收集和踩点的时候,发现了一个云桌面服务。(VMware)
尝试下载安装并运行。因为目标系统是学校,那么就用学校常见的一些弱口令(123456,身份证后六位,学号后六位等)进行尝试猜解。
在这里,猜解很快。成功登录云桌面服务。但是登录之后没有发现什么,就是一个简单的win7界面。
不过,我又尝试了一些其他教职工的账号,有的可以登录,而有的不能登录(猜测是改密码了,或者该教师没有使用云桌面的权限)
那么目标系统的管理员是否有使用云桌面的权限?因为这个云桌面类似是VPN的功能,可能让你在外的时候接入学校的内网进行办公。我的猜想是如果目标系统的管理员可以使用云桌面,那么会不会在浏览器上留下一些痕迹?(比如记住密码的操作)。
当然,这只是猜想。那么如何知道这个目标系统的管理员是谁呢?
可以是社工,也可以是其他方式。
0x02:一站式服务教工弱口令,直达0A系统
一站式登录界面如下:
因为前期收集过目标院校的教职工工号,生成一批类似的数字,直接爆破。
我将成功的一些账号和密码导了出来。
进入目标院校的一站式服务系统——OA系统。
在这里,注意看这些发件人,我注意到有一个名字出现的频率挺高,发的也是一些启用一些新系统的通知。并且,也注意到他是在目标院校的信息中心工作。
云桌面启动,尝试登录。结果登录成功。
让我意外的是,他的桌面服务环境,明显跟其他人不一样。
打开桌面上的火狐浏览器,寻找记录。
“山重水复疑无路,柳暗花明又一村。”
但是目标URL是一个内网地址,尝试访问。其中就存在开始的那个登录框。意外之喜。
记下密码,回到开头。
感谢您的观看~!
转先知社区 作者:喜欢吃蛋炒饭原文链接:https://xz.aliyun.com/t/8670
本文始发于微信公众号(Ots安全):记录一次登录框迂回渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论